王靈矯，呂琮霞，郭 華

(1. 湘潭大學(xué) 信息工程學(xué)院，湖南 湘潭 411105；2. 湘潭大學(xué) 智能計(jì)算與信息處理教育部重點(diǎn)實(shí)驗(yàn)室，湖南 湘潭 411105)

軟 件 定 義 網(wǎng) 絡(luò) （Software-Defined Networks，SDN）[1-2]將控制平面與數(shù)據(jù)平面分層，使網(wǎng)絡(luò)管理變得簡單以便于在各類網(wǎng)絡(luò)環(huán)境中部署，尤其適用于多租戶數(shù)據(jù)中心網(wǎng)絡(luò)場(chǎng)景[3]. 但該架構(gòu)也帶來一些新的安全問題，SDN交換機(jī)解耦控制功能與數(shù)據(jù)轉(zhuǎn)發(fā)功能，根據(jù)其轉(zhuǎn)發(fā)接收分組的規(guī)則，分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）[4]將大量虛假IP地址數(shù)據(jù)包發(fā)送給交換機(jī)，因交換機(jī)無匹配的流表項(xiàng)從而轉(zhuǎn)發(fā)至控制器，利用這種處理延遲，DDoS攻擊容易導(dǎo)致集中控制器過載而耗盡CPU、內(nèi)存等資源.

近年來，針對(duì)SDN網(wǎng)絡(luò)的DDoS攻擊檢測(cè)主要分為基于統(tǒng)計(jì)學(xué)習(xí)和基于機(jī)器學(xué)習(xí)兩類. 基于統(tǒng)計(jì)學(xué)習(xí)的異常檢測(cè)方法利用信息熵體現(xiàn)數(shù)據(jù)流量的隨機(jī)性，文獻(xiàn)[5]提出基于統(tǒng)計(jì)熵的異常檢測(cè)機(jī)制，結(jié)合sFlow的數(shù)據(jù)包采樣和openflow協(xié)議進(jìn)行流量采集，通過設(shè)定數(shù)據(jù)包目的IP地址的信息熵閾值來判斷網(wǎng)絡(luò)是否異常. 文獻(xiàn)[6]提出基于數(shù)據(jù)分組的SDN網(wǎng)絡(luò)早期異常檢測(cè)機(jī)制，根據(jù)目的IP地址的分布概率計(jì)算數(shù)據(jù)分組的熵值并與閾值比較，實(shí)現(xiàn)在250個(gè)分組之內(nèi)判斷網(wǎng)絡(luò)是否異常，但該方法僅進(jìn)行了熵值計(jì)算，未詳細(xì)描述DDoS攻擊的數(shù)據(jù)包特征. 在基于機(jī)器學(xué)習(xí)的異常檢測(cè)方法中，監(jiān)督學(xué)習(xí)、無監(jiān)督學(xué)習(xí)以及神經(jīng)網(wǎng)絡(luò)方法在時(shí)間開銷和檢測(cè)率上都比統(tǒng)計(jì)學(xué)習(xí)更優(yōu). 文獻(xiàn)[7]提出基于支持向量機(jī) (Support Vector Machine，SVM)的異常檢測(cè)機(jī)制，通過計(jì)算數(shù)據(jù)流量的SVM超平面，判斷SDN網(wǎng)絡(luò)流量異常與否，但該方法實(shí)驗(yàn)描述單一，未從時(shí)間開銷等方面分析其高效性. 文獻(xiàn)[8]針對(duì)SDN集中控制器的特點(diǎn)通過自組織神經(jīng)網(wǎng)絡(luò)SOM分類流量數(shù)據(jù)，但該方法訓(xùn)練時(shí)間較長. 文獻(xiàn)[9]提出一種基于K近鄰的DDoS攻擊檢測(cè)方法，但是該方法的特征提取不夠全面，比如流表項(xiàng)增速這一特征在正常流量和異常流量中也表現(xiàn)迥異. 文獻(xiàn)[10]提出基于C4.5決策樹的DDoS攻擊檢測(cè)方法，但是該方法的檢測(cè)率和時(shí)間開銷仍有提升空間. 綜合分析SDN環(huán)境下基于機(jī)器學(xué)習(xí)的DDoS攻擊檢測(cè)方法，SVM[11]具有良好的分類性能，但時(shí)間開銷較大.K近鄰[12]效率高，但需計(jì)算測(cè)試點(diǎn)與訓(xùn)練集中每一數(shù)據(jù)點(diǎn)的距離導(dǎo)致空間復(fù)雜度高.

根據(jù)上述方法存在的問題，本文提出一種改進(jìn)型SVM分類算法—RF-SVM，其基本思想是將隨機(jī)森林[13]的信息增益特性引入SVM算法，將信息增益作為流量特征的權(quán)重值，篩除重要程度小的特征，實(shí)現(xiàn)流量分類的檢測(cè)率、查全率及F1值的提高.

本文主要有以下幾點(diǎn)貢獻(xiàn)：

(1) 提出SDN環(huán)境下DDoS攻擊檢測(cè)框架，根據(jù)SDN網(wǎng)絡(luò)的流量特性獲取流表項(xiàng)信息，提取與攻擊數(shù)據(jù)包相關(guān)的六維特征.

(2) 基于SVM算法和隨機(jī)森林算法的特性提出具有更優(yōu)性能的RF-SVM算法. 通過隨機(jī)森林的信息增益特性對(duì)所選六維特征賦予權(quán)重，篩除對(duì)分類無明顯幫助的特征以得到最優(yōu)特征子集. SVM算法根據(jù)特征子集訓(xùn)練樣本，得到最優(yōu)分類超平面，測(cè)試樣本的正負(fù)標(biāo)簽由最優(yōu)分類超平面決定. 新算法高效地實(shí)現(xiàn)了DDoS攻擊流量與正常流量的分類.

(3) 基于Floodlight控制器實(shí)現(xiàn)DDoS攻擊檢測(cè)的相關(guān)實(shí)驗(yàn). 結(jié)果表明，本文方法在相同場(chǎng)景下能夠達(dá)到98.62%的檢測(cè)率，比其他方法有不同程度的提升，提升了SDN環(huán)境下攻擊流量的分類效率.

1 基于 RF-SVM 的 DDoS 攻擊檢測(cè)技術(shù)

1.1 框架介紹攻擊檢測(cè)框架由流量收集模塊、特征提取模塊、攻擊檢測(cè)模塊3部分構(gòu)成，基于RFSVM的DDoS攻擊檢測(cè)框架如圖1所示.

圖 1 基于 RF-SVM 算法的 DDoS 攻擊檢測(cè)框架Fig. 1 DDoS attack detection framework based on RF-SVM algorithm

流量收集模塊調(diào)用控制器與數(shù)據(jù)平面之間的OpenFlow[14]南向協(xié)議接口，獲取OpenVSwitch交換機(jī)上所有數(shù)據(jù)包的流表信息. 特征提取模塊進(jìn)行流表信息預(yù)處理，計(jì)算各數(shù)據(jù)流量相關(guān)的特征值，本文選取六維特征進(jìn)行計(jì)算. 攻擊檢測(cè)模塊接收處理后的特征數(shù)據(jù)集，并判斷其為正常流量還是異常流量.

1.2 特征提取根據(jù)DDoS攻擊下網(wǎng)絡(luò)流量特性，本文選取文獻(xiàn)[10]的3個(gè)特征，并新增3個(gè)特征作為DDoS攻擊檢測(cè)算法的輸入，具體如下：

（1）流包數(shù)均值 由于DDoS攻擊下，攻擊主機(jī)短時(shí)間生成大量隱蔽真實(shí)地址的虛假源IP地址流包，導(dǎo)致攻擊流的生成速度顯著提高，每條流所含的平均數(shù)據(jù)包數(shù)量增加. 定義采集周期T內(nèi)的流包數(shù)均值為

其中，Pj是第j條流表項(xiàng)所含的數(shù)據(jù)包數(shù)量，n是采集周期T內(nèi)的流總數(shù).

（2）字節(jié)數(shù)均值 DDoS攻擊下發(fā)送大量的數(shù)據(jù)包代表其短時(shí)間內(nèi)數(shù)據(jù)包字節(jié)數(shù)同樣劇增，從而平均每條流表所含的數(shù)據(jù)包字節(jié)數(shù)增加. 定義采集周期T內(nèi)的字節(jié)數(shù)均值為

其中，Mj是第j條流表項(xiàng)所含的數(shù)據(jù)包字節(jié)數(shù)，n是采集周期T內(nèi)的流總數(shù).

（3）端口增速 網(wǎng)絡(luò)正常狀態(tài)下，端口變化量比較穩(wěn)定，而在DDoS攻擊情況下惡意主機(jī)會(huì)隨機(jī)生成端口號(hào)隱蔽真實(shí)端口號(hào)，導(dǎo)致端口增速產(chǎn)生明顯變化. 定義端口增速為

其中，KT為采集周期T內(nèi)端口號(hào)的數(shù)量，T為采集周期.

（4）源IP地址增速 惡意主機(jī)通過生成大量虛假源IP地址數(shù)據(jù)流對(duì)目標(biāo)主機(jī)發(fā)起DDoS攻擊，導(dǎo)致源IP地址增速明顯提升. 定義源IP地址增速為

其中，IT為采集周期T內(nèi)的源IP地址數(shù)量，T為采集周期.

（5）流表生存時(shí)間變化 網(wǎng)絡(luò)正常情況下，流表生存時(shí)間變化量比較穩(wěn)定，DDoS攻擊通過發(fā)送大量攻擊數(shù)據(jù)包使交換機(jī)中相應(yīng)的流表項(xiàng)不斷被激活，導(dǎo)致流表生存時(shí)間變長. 定義流表生存時(shí)間變化為

其中，Tdur為采集周期T內(nèi)每條流表項(xiàng)的生存時(shí)間，Sflow為周期T內(nèi)流表項(xiàng)總數(shù).

（6）對(duì)流比 DDoS攻擊發(fā)生時(shí)，由于攻擊方偽裝源IP地址導(dǎo)致交互性的對(duì)流數(shù)減少. 定義對(duì)流比為

其中，m為對(duì)流的數(shù)量，n是網(wǎng)絡(luò)中的流總數(shù).

2 攻擊檢測(cè)算法—RF-SVM 算法

SVM作為一種雙分類算法，在處理不平衡數(shù)據(jù)上具有良好的泛化和處理能力，分類準(zhǔn)確率高，但其在大數(shù)據(jù)量樣本集中呈現(xiàn)時(shí)間復(fù)雜度高的問題. 本文提出的RF-SVM算法通過有機(jī)結(jié)合隨機(jī)森林與SVM，分類前首先篩選無用特征，以樣本空間量的減小實(shí)現(xiàn)檢測(cè)性能的提高和時(shí)間開銷的減小.

RF-SVM算法的基本流程圖如圖2所示，主要包括數(shù)據(jù)預(yù)處理、特征權(quán)重排序、SVM數(shù)據(jù)分類3個(gè)階段. 權(quán)重排序是本算法的核心部分，產(chǎn)生優(yōu)化的特征子集.

2.1 特征權(quán)重排序構(gòu)造隨機(jī)森林分類器，步驟如下：

圖 2 RF-SVM 算法基本流程圖Fig. 2 Basic flow chart of RF-SVM algorithm

步驟 1在SDN網(wǎng)絡(luò)中通過洪泛發(fā)起DDoS攻擊，抓取n個(gè)包含正常流量與異常流量的OpenFlow數(shù)據(jù)包，通過前述特征提取模塊整合計(jì)算得到n個(gè)六維特征數(shù)據(jù)集. 隨機(jī)選取s個(gè)六維特征訓(xùn)練集訓(xùn)練決策樹，每次選取完畢均需放回訓(xùn)練樣本集.

步驟 2隨機(jī)選擇(m≤6)個(gè)特征，利用信息增益策略選擇信息增益最大的特征作為決策樹節(jié)點(diǎn)的分割屬性.

步驟 3使用步驟2分割決策樹中的每個(gè)節(jié)點(diǎn)，直到其不能再被分割為止.

步驟 4根據(jù)步驟1到步驟3迭代n次構(gòu)建決策樹.

步驟 5所構(gòu)建的森林對(duì)六維特征測(cè)試集Xi進(jìn)行投票計(jì)數(shù)，獲得最高選票的類別即為Xi的分類標(biāo)簽，并判斷此數(shù)據(jù)樣本是正常流量還是異常流量.

由上述構(gòu)建好的隨機(jī)森林分類器獲取每個(gè)特征的權(quán)重，ID3決策樹算法作為隨機(jī)森林的特征權(quán)重算法，熵代表網(wǎng)絡(luò)流量的無序性. 熵值可用于DDoS攻擊的六維特征數(shù)據(jù)流量的隨機(jī)性檢測(cè)，熵值越大數(shù)據(jù)包的隨機(jī)性越高，信息熵的計(jì)算公式如

隨機(jī)變量X代表整合計(jì)算得到的六維數(shù)據(jù)流量特征集，p(xi)代表X中任意數(shù)據(jù)流量xi的出現(xiàn)概率.

假設(shè)按六項(xiàng)特征中的某一項(xiàng)特征Yj對(duì)樣本X進(jìn)行分類，則條件熵定義如

其中，|X|表示樣本容量，|Xi|表示根據(jù)不同特征劃分的第i個(gè)子集樣本個(gè)數(shù)，設(shè)有K個(gè)類Ck，k=1,2,…,K，記子集Xi中屬于類Ck的樣本的集合為Xik，|Xik|為Xik的樣本個(gè)數(shù). 條件熵越小則表示用此特征分類的純度越高.

信息增益定義為信息熵與條件熵之間的差，如

信息增益越大代表此特征越重要，重復(fù)6次計(jì)算得到每個(gè)特征的信息增益.

通過上述步驟計(jì)算得到DDoS攻擊下所提取六維特征的權(quán)重值 ωxi，通過多次實(shí)驗(yàn)給權(quán)重 ωxi設(shè)定一個(gè)合理權(quán)重閾值 α，用SVM算法對(duì)ωxi＞α的特征數(shù)據(jù)集進(jìn)行訓(xùn)練和預(yù)測(cè)，實(shí)現(xiàn)篩選特征提升DDoS攻擊檢測(cè)率的目的.

2.2 SVM 分 類對(duì)于篩選后的n（n＜6）維特征集D，利用SVM算法在該數(shù)據(jù)流量集中找到一個(gè)超平面分類出正常流量或是異常流量，用+1或?1分別代表正常流量或異常流量的分類標(biāo)簽. 則問題轉(zhuǎn)換為求解最大間隔超平面，超平面示意如圖3所示.

圖 3 支持向量機(jī)分類超平面Fig. 3 The classification hyperplane of Support Vector Machine

由超平面示意圖可知，超平面的選取須盡可能滿足正常流量數(shù)據(jù)與異常流量數(shù)據(jù)的間隔最大，超平面的線性方程可由式（10）表示.

其中x為輸入的n維流量特征， ω 為可調(diào)權(quán)值向量，ωT為 ω 的 轉(zhuǎn)置，b為超平面相對(duì)原點(diǎn)的偏移量. 任意流量數(shù)據(jù)x到超平面 (ω ,x) 的距離r表示如下：

對(duì)于 (xi,yi)∈D，當(dāng)yi= + 1 時(shí)， ωTx+b＞0；當(dāng)yi=?1時(shí)， ωTx+b＜0. 為了獲得正常流量與異常流量距離的最大值，即求解||ω||的最小值使得2r最大. 因此SVM的優(yōu)化問題可轉(zhuǎn)換為

拉格朗日優(yōu)化方法使最優(yōu)超平面問題對(duì)偶化，引入拉格朗日乘數(shù) αi， 如果滿足并且αi≥ 0 （i=1, …，n），上述約束問題可以定義為

最終得到最優(yōu)的SVM分類器

將篩選后的n維流量特征集用訓(xùn)練好的SVM分類器進(jìn)行DDoS攻擊檢測(cè)分類，把流量區(qū)分為正常流量和異常流量.

2.3 RF-SVM 算 法總結(jié)RF-SVM 算 法描述如下：

步驟 1在算法初始階段，SDN網(wǎng)絡(luò)發(fā)起洪泛抓取n個(gè)數(shù)據(jù)流量，根據(jù)流表信息計(jì)算提取六維特征構(gòu)成初始數(shù)據(jù)集，將其作為算法輸入.

步驟 2針對(duì)數(shù)據(jù)集初始樣本可能有數(shù)據(jù)缺失的情況，通過補(bǔ)0或1對(duì)初始數(shù)據(jù)集進(jìn)行預(yù)處理.

步驟 3根據(jù)式（9）計(jì)算六維特征權(quán)重值，得到特征權(quán)值集合 ωi.

步驟 4根據(jù)設(shè)定的閾值 α 刪除不滿足權(quán)重條件的特征即刪除特征權(quán)重值 ωxi＜ α 的特征，得到最優(yōu)特征子集A_subset.

步驟 5由式（14）產(chǎn)生的SVM分類器，根據(jù)特征子集對(duì)測(cè)試流量特征數(shù)據(jù)集進(jìn)行分類.

RF-SVM算法結(jié)合隨機(jī)森林與SVM的優(yōu)點(diǎn)，分類性能良好，節(jié)省了時(shí)間開銷；構(gòu)建的決策樹只提取其特征信息增益部分不受過擬合現(xiàn)象影響；分類過程由于篩選了冗余特征不會(huì)增大時(shí)間復(fù)雜度.

3 實(shí)驗(yàn)分析

3.1 性能評(píng)估指標(biāo)分析 DDoS 攻擊檢測(cè)效果，一般采用檢測(cè)率（P）、查全率（R）、F1值 3 個(gè)指標(biāo). 其中：

檢測(cè)率表示RF-SVM分類器的準(zhǔn)確度，查全率表示RF-SVM分類器分類的完備度，F(xiàn)1值為綜合檢測(cè)率與查全率之后的調(diào)和平均.T、F、N的含義如表1所示. 其中C1，C2分別表示所屬類別是正常流量或是攻擊流量，di表示第i個(gè)測(cè)試樣本.

表 1 RF-SVM 算法分類結(jié)果混淆矩陣Tab. 1 Confusion matrix of RF-SVM algorithm classification results

3.2 KDD99 數(shù)據(jù)集的實(shí)驗(yàn)分析為了驗(yàn)證 RFSVM算法識(shí)別攻擊流量的有效性，避免SDN環(huán)境下因數(shù)據(jù)采集有誤導(dǎo)致算法檢測(cè)率不準(zhǔn)確的問題，實(shí)驗(yàn)首先采用穩(wěn)定的國際標(biāo)準(zhǔn)數(shù)據(jù)集KDD99進(jìn)行算法性能驗(yàn)證. KDD99數(shù)據(jù)集包含22種攻擊類型，42個(gè)流量特征，選取其中8個(gè)特征用做攻擊檢測(cè)：duration、 src_bytes、 dst_bytes、 logged_in、 hot、num_access_files、srv_count、is_guest_login. 訓(xùn)練集與測(cè)試集的樣本數(shù)量比例為3∶1.

3.2.1 實(shí)驗(yàn)結(jié)果 表 2顯示了 RF-SVM算法中利用隨機(jī)森林權(quán)重特征計(jì)算得到的特征權(quán)重值，多次訓(xùn)練取最優(yōu)權(quán)重閾值 α 為0.02，得到特征子集：src_bytes、dst_bytes、logged_in、srv_count.

如圖4所示的柱狀圖，顯示了RF-SVM算法與RF及SVM算法的整體對(duì)比，其結(jié)果是RF-SVM算法的檢測(cè)率、查全率、F1值分別比SVM算法和RF算法提升了1.87%、?0.42%、1.51%和2.87%、1.18%、2.01%. 可以看出RF-SVM算法在分類性能上有較大改善.

表3顯示了各個(gè)算法的時(shí)間開銷對(duì)比，RF、SVM、RF-SVM算法的執(zhí)行時(shí)間分別是0.545 9、24.841、20.795 s，可以看出，RF-SVM 算法執(zhí)行效率相比SVM算法有明顯改善，但還是低于其他5種算法，這源于SVM算法本身的高時(shí)間復(fù)雜度.

表 2 KDD99 數(shù)據(jù)集下 RF-SVM 算法得到的各特征權(quán)重Tab. 2 Feature weights calculated by RF-SVM algorithm on KDD99 data set

圖 4 KDD99數(shù)據(jù)集下RF-SVM算法與RF算法和SVM算法對(duì)比Fig. 4 Comparison of RF-SVM algorithm with RF algorithm and SVM algorithm on KDD99 data set

表 3 KDD99 數(shù)據(jù)集下各個(gè)算法時(shí)間開銷對(duì)比Tab. 3 Comparison of time cost of each algorithm on KDD99 data set

3.3 SDN 環(huán) 境 的 實(shí) 驗(yàn) 分 析實(shí) 驗(yàn) 使 用 Mininet模擬SDN網(wǎng)絡(luò)環(huán)境，SDN控制器選擇floodlight控制器. Floodlight是一種基于Java開發(fā)的OpenFlow輕量級(jí)控制器，具有良好的穩(wěn)定性和可編程性. 主機(jī)配置為 3.3 GHz，4 GB 內(nèi)存 CPU，操作系統(tǒng)為ubuntu16.04.

使用如圖5所示的網(wǎng)絡(luò)拓?fù)溥M(jìn)行實(shí)驗(yàn)，交換機(jī)s1連接的Net1網(wǎng)絡(luò)包含20臺(tái)主機(jī)，交換機(jī)s2連接的Net2網(wǎng)絡(luò)包含有10臺(tái)主機(jī). Net1是報(bào)文發(fā)送網(wǎng)絡(luò)，Net2是受攻擊網(wǎng)絡(luò)，Net1可以向Net2發(fā)送DDoS攻擊流量或者是正常報(bào)文. 使用經(jīng)典的DDoS攻擊工具h(yuǎn)ping3從Net1網(wǎng)絡(luò)向Net2網(wǎng)絡(luò)某一特定主機(jī)發(fā)送 TCP SYN flood，UDP flood，ICMP flood攻擊，使用抓包軟件Wireshark分析數(shù)據(jù)頭部包含的信息.

圖 5 SDN 環(huán)境下網(wǎng)絡(luò)拓?fù)銯ig. 5 Network topology in SDN environment

3.3.1 實(shí)驗(yàn)結(jié)果 表4顯示了RF-SVM算法在SDN下六維特征數(shù)據(jù)集通過隨機(jī)森林計(jì)算得到的權(quán)重值，多次訓(xùn)練取最優(yōu)權(quán)重閾值 α 為0.15，篩選1.2節(jié)中的六維特征得到四維最優(yōu)特征集：FT、BT、PT、C.

表 4 SDN 環(huán)境下 RF-SVM 算法得到的各特征權(quán)重Tab. 4 Feature weights calculated by RF-SVM algorithm under SDN environment

圖6所示柱狀圖直觀顯示了RF-SVM算法與RF及SVM算法的對(duì)比，其結(jié)果是RF-SVM算法的檢測(cè)率、查全率、F1值分別為98.62%、98.41%、98.51%，SVM算法的檢測(cè)率、查全率、F1值分別為97.51%、97.56%、97.49%，前者較后者分別提升了 1.11%、0.85%、1.02%. RF算法的檢測(cè)率、查全率、F1值分別為 96.32%、92.91%、94.09%，RFSVM算法較之分別提升了2.3%、5.5%、4.42%.

表5顯示了各算法的時(shí)間開銷對(duì)比，RF-SVM、SVM、RF 3個(gè)算法的時(shí)間開銷分別是 17.254、21.965、0.536 s，可以看出，RF-SVM 算法執(zhí)行效率相比SVM算法有較大提升，但相較RF算法RFSVM算法時(shí)間開銷仍有待提升.

綜上可知，RF-SVM算法優(yōu)化了分類器性能，較大提高了SDN環(huán)境下DDoS攻擊檢測(cè)的分類性能.

圖 6 SDN 環(huán)境下 RF-SVM 算法與 RF 算法和 SVM 算法對(duì)比Fig. 6 Comparison of RF-SVM algorithm with RF algorithm and SVM algorithm in SDN environment

表 5 SDN 環(huán)境下各算法時(shí)間開銷對(duì)比Tab. 5 Comparison of time cost of each algorithm in SDN environment

4 結(jié)束語

隨機(jī)森林引入的節(jié)點(diǎn)分裂技術(shù)展現(xiàn)出良好的分類性能，SVM對(duì)不平衡數(shù)據(jù)有較好的分類效果，因此基于隨機(jī)森林和SVM提出一種改進(jìn)型加權(quán)SVM算法，采用加權(quán)SVM應(yīng)用于SDN環(huán)境下的DDoS攻擊檢測(cè)領(lǐng)域. 新算法以隨機(jī)森林的信息增益相關(guān)參數(shù) ω 匹配各特征的權(quán)重比，以 α 值匹配特征權(quán)重閾值，篩除對(duì)分類無顯著幫助的特征，利用SVM分類算法對(duì)特征子集檢測(cè)分類，消除SVM特征重要性一致產(chǎn)生的影響. 實(shí)驗(yàn)結(jié)果證明RF-SVM算法提升了分類器性能，既保證了算法的簡易高效性又提高了攻擊檢測(cè)的準(zhǔn)確率，雖然RF-SVM算法的執(zhí)行效率比SVM算法有明顯提升，但相對(duì)其他算法仍然有很大時(shí)間開銷，如何進(jìn)一步改善算法執(zhí)行效率是下一步的研究重點(diǎn).